Informationen zu Heartbleed

Heartbleed ist der Kosename für eine Sicherheitslücke, die am 7. April 2014 entdeckt wurde. Zunächst einmal betrifft die Sicherheitslücke nur Server, so dass der Eindruck entstehen könnte, dass sich ein normaler Benutzer nicht darum kümmern muss. Warum das Problem letztlich tiefgreifender ist und auch normale Benutzer alle (!) Passwörter ändern müssen und wann sie das tun sollten, versuche ich hier mal zusammenzufassen.

Worum geht es?

Ein Fehler in einer Verschlüsselungssoftware macht es möglich, dass ein Angreifer auf die Inhalte des PCs zugreifen kann. Vordergründig nur in kleinen Mengen, dafür aber unerkannt und beliebig oft. Unter diesen Inhalten können Benutzernamen, Emails, Passwörter und Passworthinweise sein. Schlimmer noch: nicht nur die Passwörter der Benutzer, sondern auch die Passwörter der Administratoren. Erfährt der Angreifer ein solches Administrator-Passwort, hat er wahrscheinlich Zugriff auf alles: Datenbanken, Email-Postfächer, usw.

Muss ich meine Passwörter ändern?

Ja, aber keinesfalls sofort. Das Problem: die Server-Betreiber müssen zunächst die neueste Version der Software einspielen. Ansonsten kann der Angreifer einfach nochmal angreifen und das geänderte Passwort wieder lesen. Warten Sie also auf die Emails der Serverbetreiber und ändern Sie das Passwort erst dann.

Vorsicht vor Spam und Phishing

Es könnte sein, dass Spammer die Gelegenheit nutzen, um Emails mit dem Betreff Heartbleed sowie Aufforderungen zur Änderung von Passwörtern verschicken. Prüfen Sie die eingehenden Emails daher sehr genau. Stimmt der Absender? Handelt es sich um gute Links? Verwenden Sie lieber einen Link in Ihren Favoriten anstelle eines Links aus einer Email. Lassen Sie sich falls möglich, die Link Adresse anzeigen. Falls Sie unsicher sind, lassen Sie sich lieber helfen.

Warum sind alle Passwörter betroffen?

Es sind potenziell alle Passwörter betroffen, die Sie im Internet verwenden. Passwörter, die Sie nur daheim verwenden (z.B. für die Anmeldung an Windows) sind nicht betroffen, solange Sie das Passwort nicht irgendwann per Email o.ä. verschickt haben. Welche Online-Passwörter genau betroffen sind, kann man leider nicht ermitteln. Mit Sicherheit kann man aber sagen, dass mehr Passwörter betroffen sind, als auf den ersten Blick ersichtlich.

Warum? Angenommen es gibt folgendes Szenario: ein Angreifer erfährt das Passwort Ihres Email-Postfachs. Jetzt kann er alle Emails lesen. Somit erfährt der Anfreifer, welche anderen Online-Seiten von Ihnen benutzt werden, zum Beispiel Facebook. Der Angreifer geht jetzt auf die Facebook-Seite und klickt auf „Passwort vergessen“. Facebook schickt eine Bestätigungs-Email zum Ändern des Passworts. Da der Angreifer ja bereits Zugriff auf die Emails hat, kann er den Link anklicken und ein neues Passwort wählen. Daher müssen Sie auch das Facebook Passwort ändern (aber bitte erst, wenn Sie sicher sind, dass Facebook selbst nicht betroffen ist).

Sinngemäß funktioniert das nicht nur mit Facebook sondern mit allen Webseiten, bei denen man sich anmelden muss. Daher muss man zwangsläufig all seine Online-Passwörter ändern.

Es gibt noch weitere Szenarien, die zum gleichen Ergebnis kommen:

  • Mehrfache Verwendung des gleichen Passworts auf unterschiedlichen Webseiten. Der Angreifer muss das gleiche Passwort nur ausprobieren.
  • In den Emails, die der Angreifer lesen konnte, stehen vielleicht andere Passwörter (ja, Leute verschicken Emails mit Passwörtern).
  • Über die Emails kann der Angreifer realistische, harmlos aussehende Emails in Ihrem Namen verschicken und andere Personen im Adressbuch (Freund/Freundin, Ehemann/Ehefrau, …) nach dem Passwort fragen. Diese Art des Angriffs nennt sich Social Engineering.

Welche Webseiten sind betroffen (gewesen)?

Leider sehr viele. Die aus meiner Sicht bekanntesten: Yahoo, Web.de, ZDF, TAZ, Hypovereinsbank, Sparkasse, Ebay Afterbuy, Rapidshare, Flickr, Das Telefonbuch, Gelbe Seiten, Vodaphone, Leo.org, Kaspersky, µTorrent, bitTorrent, StackOverflow / StackExchange, Berlin.de, If this then than (Ifttt), Downloads.com, Premiere Frankreich, PHPBB, …

Wie man sieht, betrifft die Sicherheitslücke auch viele große Unternehmen. Und diese Liste stammt leider erst vom 8. April, was bedeutet, dass es zwischen dem 7. April und 8. April noch deutlich mehr betroffene Webseiten gegeben haben kann.

Sind Server von WelliSolutions betroffen?

Nein. WelliSolutions setzt eine ältere Version der Verschlüsselungssoftware ein, die den Fehler nicht enthalten. Die alte Version ist nicht schlecht, nur weil sie alt ist. Vielmehr brauchen Server von WelliSolutions die Fähigkeiten (Features) der neuen Version nicht. Technische Details: WelliSolutions verwendet OpenSSL 0.9.8k 25 Mar 2009

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.